Ein Unternehmen bindet normalerweise eine Portal-Lösung in sein IT-Umfeld ein, um damit einem Anwender den einfachen Zugriff auf verschiedene Anwendungen zu ermöglichen. Meist werden die Ressourcen des gesamten Unternehmens gebündelt. Vielleicht werden zusätzlich Geschäftsinformationen mit Partnern, Lieferanten und Kunden möglichst einfach ausgetauscht. Sobald es aber um die Sicherheit geht, wird es heikel. Wie lassen sich wichtige Informationen und Applikationen mit Anwendern im Unternehmen und auch außerhalb des Unternehmens austauschen, dabei gleichzeitig den Zugriff für alle vereinfachen und trotzdem die Sicherheit der Daten, Systeme und Prozesse garantieren? Müssen dafür die bestehenden Sicherheitsmaßnahmen für alle Anwendungen “aufgetrennt” werden?

Volle Sicherheit ohne Komplettumbau

Ein Unternehmensportal fasst Inhalte, Anwendungen und Dienstleistungen auf Ebene der Anwender zusammen. SAP Enterprise Portal bietet zwei wichtige Sicherheitsmerkmale: Die Lösung behält die Sicherheitsstufen der bestehenden Anwendungen bei und unterstützt diese zusätzlich durch weitere Maßnahmen. Die Performance der Anwendungen wird dadurch nicht beeinträchtigt.
Die Sicherheitsdienste von SAP Enterprise Portal koppeln an bestehende Sicherheitsmaßnahmen der einzelnen Anwendungen an. Dadurch wird die Sicherheit existierender Systeme garantiert, die Inhalte bleiben geschützt. Dabei ist es unerheblich, ob die Anwendungen auf einem SAP Web Application Server oder auf einer anderen Technologieplattformen laufen. Im Ergebnis steht für diese Anwendungen ein zentralisiertes Sicherheitsmanagement zur Verfügung.

Sichere Kommunikation im Portal

Systemverwalter haben bei SAP Enterprise Portal eine Reihe von Möglichkeiten, jeden Kommunikationspunkt im IT-Umfeld abzusichern. Im Rahmen einer weitverbreiteten Architektur mit SAP Enterprise Portal greifen Anwender mittels eines handelsüblichen Webbrowsers über das Protokoll “Hypertext Transfer Protocol” (HTTP) auf das Portal zu. SAP empfiehlt, einen Webserver – etwa Microsoft Internet Information-Server (IIS) oder einen Apache-Server – vor die SAP J2EE-Engine zu schalten, die den Server des Unternehmensportals betreibt. Dieser vorgeschaltete Webserver fungiert als Umkehrproxy gegen das Internet und übernimmt einen Teil der Ausgleichsfunktionen. Zu diesem Zweck bietet SAP spezielle Webserver-Plugins für den IIS und den Apache-Server an. Als Alternative bietet sich der SAP Web Dispatcher an.
Die HTTP-Anfragen werden über das Sicherheitsprotokoll “Secure Sockets Layer” (SSL) vom Webbrowser des Anwenders zum Frontend-Webserver und weiter zum Portalserver übertragen. Dabei finden eindeutige Computeradressen im sicheren Hypertext Transfer Protocol HTTPS Anwendung. SSL ist ein weitverbreiteter Internet-Standard für sichere Kommunikation. Das Protokoll dient der Authentifizierung und Verschlüsselung, wenn digitale Serverzertifikate X.509 verwendet werden. Die Anfragen und Daten des Anwenders sind mit HTTPS während der Übertragung vor einem “Lauschangriff” und vor Veränderungen geschützt.
Die Portal-Lösung benötigt unter Umständen Kommunikationsabläufe im Backend, die verschiedene Datenspeicher für die Benutzerverwaltung, Authentifizierung und Zugriffsberechtigung unterstützen. Auch müssen die Verbindungen im Backend bestehende Dienste und Anwendungen zu einem einzigen, zusammenhängenden System zusammenführen. Die Kommunikationsabläufe lassen sich über

• eine sichere Verbindung mithilfe von SSL oder
• den Remote Function Call (RFC) von SAP ausführen, falls es sich um SAP-Backend-Systeme handelt oder um Anwendungen, die auf einem SAP Web Application Server laufen. RFC bedient sich der Schnittstelle GSS API und einer externen Sicherheitsbibliothek, um die Verschlüsselung zu unterstützen.

Werden sichere Kommunikationsabläufe im Backend mit einer geeigneten Netzwerk-Infrastruktur kombiniert, ist die Kommunikation des Unternehmens vor Angriffen auf der Ebene des Netzwerks und der Übertragungswege geschützt. SSL und GSS API gewährleistet eine starke Authentifizierung und Verschlüsselung und sichert die im SAP Enterprise Portal verwendeten Kommunikationswege. Die Infrastruktur sollte entsprechend ausgestaltet sein: Mit externen und internen Firewalls werden die Netzwerke in Zonen unterteilt, in denen die Rechner für die Anwender, die Frontend-Webserver und Umkehrproxys, die Server des Unternehmensportals und das Backend-System gehostet sind.

Authentifizierung und Single Sign-On

Wer versucht, über das SAP Enterprise Portal Zugriff auf Unternehmensinformationen, Anwendungen oder Dienstleistungen zu erhalten, muss sich als berechtigter Benutzer ausweisen. Je nach Infrastruktur existieren verschiedene Möglichkeiten, den Server des Unternehmensportals für diese Authentifizierung zu konfigurieren.

• Benutzer-ID und Passwort: Bei der einfachsten Variante mittels einer Benutzer-ID und eines Passworts wird eine verschlüsselte Datei (hash value) des Benutzer-Passworts abgelegt. Bei der Anmeldung wird die verschlüsselte Version des Passworts, so wie es vom Benutzer beim ersten Zugang zum Portalserver eingegeben wurde, mit der gespeicherten Verschlüsselung vergllichen. Eine Anmeldung auf Formularbasis oder eine simple Authentifizierung, wie sie der Webbrowser ermöglicht, kann für diesen Zweck konfiguriert werden. Das Passwort wird dabei, wie oben beschrieben, über sichere Verbindungen übertragen.
• Digitale Zertifikate: Falls der Benutzer bereits mit digitalen Klient-Zertifikaten X.509 für den Zugang zum Server des Unternehmensportals über HTTPS ausgestattet ist, ist ein SSL-Protokoll eine praktische und sichere Alternative für die Authentifizierung des Anwenders. Bei dieser Technik werden keine Passwörter übertragen und vom Server des Unternehmensportals geprüft. Vielmehr werden Verschlüsselungen und das Frage-Antwort-Protokoll (challenge-response protocol) von SSL benutzt.
• Bestehende Infrastruktur für die Authentifizierung im Rahmen von SAP Web Application Server, SAP R/3, Windows oder anderen: Die erste Anmeldung des Benutzers lässt sich auch gegen eine bestehende Infrastruktur für die Authentifizierung abgleichen. Infrage kommen beispielsweise SAP Web Application Server, SAP R/3 oder die Domänensteuerung von Windows. Es gibt zusätzlich viele Möglichkeiten zur Authentifizierung, falls Anmeldemodule des Systems Java Authentication and Authorization Service (JAAS) Verwendung finden, die in Partnerlösungen von SAP zur Verfügung gestellt werden.

Ist die Authentifizierung am Portalserver erfolgt, wollen die Anwender auf die Inhalte und Dienstleistungen zugreifen, die die dort zusammengeführten Komponenten und Systeme bereitstellen. Da die einzelnen Komponenten ihre Authentifizierungskontrollen weiterhin durchführen, muss das Portal die Informationen über die Identität des angemeldeten Anwenders transparent weitergeben. Diese Funktion nennt sich Single Sign-on (SSO). SAP Enterprise Portal bietet dazu verschiedene Möglichkeiten:

• Single Sign-on mithilfe digitaler Zertifikate oder der Authentifizierung von Windows: Falls der Anwender bereits über digitale Client-Zertifikate X.509 verfügt oder sich der Authentifizierung von Windows bedient, stehen diese auch für den Single Sign-on zur Verfügung.
• Single Sign-on mit AP Logon Tickets: Für alle Bestandteile einer SAP-Lösung erstellt der Server des Portals nach erfolgter Anmeldung ein SAP Logon Ticket. Dieser Beleg wird im Webbrowser des Anwenders als nichtbeständiges Cookie gespeichert. Er ist durch eine digitale Unterschrift gesichert und hat eine feste Ablaufszeitdauer. Wird das SAP Logon Ticket in Verbindung mit einer sicheren Verbindung verwendet, ist der Grad der Sicherheit vergleichbar mit derjenigen unter Verwendung einer Benutzer-ID und eines Passworts. Alle Bestandteile der SAP-Lösung müssen dabei auf einer Weise konfiguriert sein, dass sie die vom Portalserver erzeugten und digital signierten Anmeldebelege akzeptieren. Für Non-SAP-Systeme bietet SAP eine Bibliothek zur Belegprüfung an, die sich in Fremd-Anwendungen integrieren lässt.
• Gesamtlösung für ein Benutzerkonto: Es gibt Anwendungen, die nicht mit SAP Logon Tickets oder einer anderen Form des Single Sign-on funktionieren. Dazu zählen bestehende Host-Anwendungen, bei denen die entsprechende Modifizierung zu aufwändig wäre. In solchen Fällen bietet die Gesamtlösung für ein Benutzerkonto eine Ausweichmöglichkeit. Ein Anwender wird für eine bestimmte Gruppe von Anwendungen mit einer Benutzer-ID und einem Passwort ausgestattet. Ruft der Anwender eine dieser Applikationen auf, sendet der Server des Portals die benötigten Anmeldeinformationen. Benutzer-ID und Passwort werden dabei verschlüsselt in der Datenbank des Portals gespeichert.

Autorisierung mit Zugriffskontrollen

Authentifizierte Anwender verfügen im SAP Enterprise Portal über verschiedene Zugriffsberechtigungen. Diese Rechte sind durch die ihnen zugewiesenen Rollen und Gruppen festgelegt. SAP Enterprise Portal 6.0 gewährt den Anwendern Zugriffsberechtigungen auf Objekte, das heißt auf Ordner, iViews, Seiten und Elementgruppen, die im Portalinhaltsverzeichnis Portal Content Directory (PCD) abgelegt sind. Diese Berechtigungen werden durch Zugriffskontrolllisten des Typs Access Control List (ACL) definiert. Anwender, Rollen und Gruppen erhalten Zugriff, indem sie zu den Objekten des Portalinhaltsverzeichnisses passende Zugriffskontrolllisten unterhalten.
Diese Zugriffskontrolllisten werden je nach Objekttyp entweder vom Portalverwalter oder vom Objektverantwortlichen gepflegt. Die Pflege lässt sich durch “Vererbung” der Erlaubnis innerhalb der Objekthierarchie vereinfachen. Den meisten Portalseiten ist beispielsweise mindestens ein iView zugeordnet. Wird die Zugriffskontrollliste dieses iView-Objekts nicht separat gehalten, so “erbt” es automatisch durch Voreinstellung die Zugriffsberechtigung der betreffenden Seite. In ähnlicher Weise erben alle Anwender, denen eine bestimmte Rolle zugewiesen ist, die Zugriffsberechtigungen derselben.
Will der Anwender über das Portal auf Anwendungen oder Dienstleistungen anderer SAP-Lösungen – etwa SAP R/3, mySAP Customer Relationship Management oder mySAP Business Intelligence – zugreifen, so führen diese unabhängig weitere Zugriffskontrollen durch. Diese Kontrollen laufen im Hintergrund und bleiben vom Anwender unbemerkt. SAP Enterprise Portal verfügt über in die SAP-Lösungen integrierten Rollenverwaltungsprozeduren. Die vom Portal definierte und zugewiesene Rollenbeschreibung und Benutzerrolle wird automatisch zum Posteingang des entsprechenden Administrators gesandt, um autorisiert und weiter bearbeitet zu werden.

Bessere Unterstützung für die Benutzerverwaltung

Bei älteren Versionen von SAP Enterprise Portal kann für die Benutzerverwaltung ein Verzeichnis mithilfe des Protokolls Lightweight Directory Access Protocol (LDAP) erstellt und genutzt werden. SAP Enterprise Portal 6.0 verfügt durch die SAP User Management Engine (UME) über erweiterte Funktionalität im Bereich Benutzerverwaltung. Die UME besitzt mehr Speicheroptionen: Die relationalen Datenbanken und der SAP Web Application Server fungieren als Speicherort für die Benutzerdaten. Benutzerkonten und sonstige spezifische Benutzerinformationen werden so flexibler verwaltet.

Aufgrund der Flexibilität von Speicheradaptern – in UME eingebaute separate Software-Ebenen und Schnittstellen – lassen sich verschiedene Speicherorte für die Anwender parallel nutzen. Mit verschiedenen Speicheradaptern werden unterschiedliche Benutzerkonten auf verschiedene Speicherorte verteilt. Die internen Anwender beispielsweise legt UME in einem LDAP-Verzeichnis ab, externe Anwender in einem Datenbanksystem. Müssen etwa E-Mail-Adressen oder Telefonnummern im Unternehmensverzeichnis gespeichert sein, während die SAP-Lösungen spezifische Informationen in der Portaldatenbank benötigt, lassen sich diese verschiedenen Attribute nun tatsächlich auch an verschiedenen Orten hinterlegen.

Erweiterte Sicherheitsdienstleistungen

SAP Enterprise Portal erweitert die Sicherheitsdienstleistungen der im Portal zusammengeführten Anwendungen und Systeme und sorgt für einfacheren Zugang durch Single Sign-on über sichere Verbindungen. Gleichzeitig wird beim Zugriff auf Inhalte des Portal die Berechtigung überprüft. Dazu dienen das Rollen-basierte Autorisierungskonzept der SAP-Komponentensysteme sowie die Zugriffskontrolllisten.
Mehr Informationen zur Sicherheit in Portalen gibt es unter dem Titel “SAP Enterprise Portal 6.0: Security and User Management”. Die Informationen stehen registrierten SAP-Anwendern unter https://service.sap.com/ep zur Verfügung. Außerdem ist die Dokumentation für SAP Enterprise Portal unter https://help.sap.com zu finden.

Quelle: SAP Insider